Virus System Fix ?

Résolu
Pitchoun -  
 g3n-h@ckm@n -
Bonjour,

Je viens d'attraper le virus System Fix, je n'ai plus d'icones sur le bureau et des messages d'avertissement windows sur le disque dur apparaissent "delayed write failed". Je ne peux plus aller sur Internet puisque je n'ai pas accès au navigateur.
Je poste donc ce message de mon 2° ordinateur.

Est-ce que quelqu'un pourrait me guider pour supprimer ce virus ?

Je viens de télécharger ZHPDiag et RogueKiller, je les ai mis sur une clé USB mais y a t-il un risque de contaminer cette clé ??

Merci beaucoup pour votre aide !

62 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Le fil décrit une infection supposée sur Windows 7 par le virus System Fix qui enlève les icônes du bureau et affiche l'erreur delayed write failed, rendant l'accès à Internet et au navigateur problématique. Des outils comme ZHPDiag et RogueKiller ont été mentionnés comme moyens de détection et de nettoyage, et un rapport Malwarebytes est partagé pour évaluer les infections. Plusieurs échanges signalent des difficultés à démarrer en mode sans échec et suggèrent d'utiliser les outils en pré-scan, tout en évoquant des échanges sur la sécurité des clés USB et la contamination potentielle. D'autres évoquent la réinstallation du système comme option, mais cela dépend du diagnostic des outils et des risques de perte de données.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.

    ===========================

    lance roguekiller option 2 , et 6

    ===========================

    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques USB sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ===============================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. Pitchoun
       
      Merci beaucoup pour votre aide !
      J'ai tout téléchargé sur une clé USB pour les installer sur l'ordinateur contaminé.
      Y a-t-il un risque de contaminer mon portable lorsque je vais devoir vous poster les rapports via la clé USB ?
      0
  2. g3n-h@ckm@n
     
    usbfix vaccinera ta clé au passage sur le pc malade , tu la laisseras branchée

    utilise les outils dans l ordre :)
    0
    1. Pitchoun
       
      TDSSKiller n'a rien trouvé, normal ?
      Je continue avec RogueKiller
      0
  3. g3n-h@ckm@n
     
    c'etait en prevention pour tdsskiller car en general system Fix , est accompagné d'un rootkit traité par tdsskiller
    0
    1. Pitchoun
       
      Je vais te poster les rapports.

      Mais, lors de l'exécution de Pre_Scan, il apparait un message d'erreur qui empêche l'établissement du rapport.
      Le message est le suivant :
      Line 19081 (File "C:\users\frederic\desktop\pre_scan.exe") : error : subscript used with non-array variable
      0
  4. g3n-h@ckm@n
     
    ok poste deja les rapports que tu as
    0
    1. Pitchoun
       
      Tdsskiller : http://cjoint.com/?ALdl0dlcqeX

      RogueKiller : http://cjoint.com/?ALdl2fnzBKD et http://cjoint.com/?ALdl2JT6rZ3

      usbfix : http://cjoint.com/?ALdl1qbnpab
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    il manque roguekiller option 2
    0
    1. Pitchoun
       
      option 2 : http://cjoint.com/?ALdmgCX87RJ
      0
  7. g3n-h@ckm@n
     
    une question :

    ton antivirus est avast6 ?
    0
    1. Pitchoun
       
      J'ai avast 6 sur mon portable mais sur l'ordinateur malade, j'ai antivir version gratuite
      0
  8. g3n-h@ckm@n
     
    pour pre_scan , le scan commence ou meme pas ?
    0
    1. Pitchoun
       
      Oui ça démarre, on a les multiples fenêtres qui clignotent et ensuite on a le messsage d'erreur
      0
  9. g3n-h@ckm@n
     
    ok poste C:\Pre_scan.txt sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  10. Pitchoun
     
    Voici le lien :
    http://pjjoint.malekal.com/files.php?id=20111203_c11i9d13t12l10
    0
  11. g3n-h@ckm@n
     
    ok

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
    =====================================================


    Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Combofix

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >><souligne>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage
    de l'outil.
    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur combofix renommé

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!


    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
    1. Pitchoun
       
      ComboFix 11-12-03.01 - frederic 03/12/2011 13:42:08.1.4 - x64
      Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.6071.4317 [GMT 1:00]
      Lancé depuis: c:\users\frederic\Desktop\Frederic.exe
      SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      .
      .
      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\users\frederic\AppData\Roaming\completescan
      c:\users\frederic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
      c:\users\Public\Documents\Server\admin.txt
      c:\users\Public\Documents\Server\server.dat
      K:\Setup.exe
      .
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2011-11-03 au 2011-12-03 ))))))))))))))))))))))))))))))))))))
      .
      .
      2011-12-03 12:46 . 2011-12-03 12:46 -------- d-----w- c:\users\Default\AppData\Local\temp
      2011-12-03 10:36 . 2011-12-03 10:42 -------- d-----w- C:\Kill'em
      2011-12-03 10:21 . 2011-12-03 10:25 -------- d-----w- C:\UsbFix
      2011-11-09 17:44 . 2011-10-01 05:28 886784 ----a-w- c:\program files\Common Files\System\wab32.dll
      2011-11-09 17:44 . 2011-10-01 04:43 708608 ----a-w- c:\program files (x86)\Common Files\System\wab32.dll
      2011-11-09 17:44 . 2011-09-29 16:24 1897328 ----a-w- c:\windows\system32\drivers\tcpip.sys
      2011-11-09 17:44 . 2011-09-29 04:09 3141120 ----a-w- c:\windows\system32\win32k.sys
      .
      .
      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2011-12-03 10:25 . 2011-12-03 10:24 1160605627 ----a-w- C:\UsbFix_Upload_Me_FREDERIC-PC.zip
      2011-11-21 11:40 . 2011-12-02 18:11 8822856 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{7F7A6123-3805-4388-A30B-4125AB5DBC22}\mpengine.dll
      2011-10-01 03:21 . 2011-10-14 21:41 1638912 ----a-w- c:\windows\system32\mshtml.tlb
      2011-10-01 02:59 . 2011-10-14 21:41 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb
      .
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2010-04-08 319792]
      "TomTomHOME.exe"="c:\program files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
      "hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]
      "HP Remote Solution"="c:\program files (x86)\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe" [2009-08-25 656896]
      "IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
      "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-12-01 98304]
      "HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
      "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2009-09-02 60464]
      "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
      "SSBkgdUpdate"="c:\program files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
      "OpwareSE4"="c:\program files (x86)\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
      "MultiScreen"="c:\program files (x86)\MultiScreen\MultiScreen.exe" [2008-06-30 114688]
      "CamserviceHD"="c:\program files (x86)\Hercules\Dualpix HD\XtrCtrl.exe" [2009-10-19 2999080]
      "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
      "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
      "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
      "CANAL+ CANALSAT A LA DEMANDE"="c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2010-05-03 163992]
      .
      c:\users\frederic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
      Game Alarm.lnk - c:\games\Game Alarm\gamealarm.exe [2010-3-23 19721728]
      OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 0 (0x0)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      "PromptOnSecureDesktop"= 0 (0x0)
      "EnablELUA"= 0 (0x0)
      .
      [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
      .
      R3 AKDWC20ET;Hercules Dualpix HD Webcam;c:\windows\system32\Drivers\HDVidvx.sys [x]
      R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-07-07 195336]
      R3 hxctlflt;hxctlflt;c:\windows\system32\DRIVERS\hxctlflt.sys [x]
      R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
      S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x]
      S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
      S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
      S2 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-06-15 249648]
      S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [2010-05-03 188416]
      S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 27136]
      S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
      S2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2009-11-13 92008]
      S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
      S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
      .
      .
      --- Autres Services/Pilotes en mémoire ---
      .
      *NewlyCreated* - NATIVEWIFIP
      *NewlyCreated* - NDISUIO
      .
      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      ezSharedSvc
      .
      Contenu du dossier 'Tâches planifiées'
      .
      2011-11-28 c:\windows\Tasks\HPCeeScheduleForfrederic.job
      - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22]
      .
      2011-10-31 c:\windows\Tasks\PCDRScheduledMaintenance.job
      - c:\program files\PC-Doctor for Windows\pcdrcui.exe [2009-09-18 07:11]
      .
      .
      --------- x86-64 -----------
      .
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-09-14 610360]
      "PC-Doctor for Windows localizer"="c:\program files\PC-Doctor for Windows\localizer.exe" [2009-09-17 95728]
      "CanonSolutionMenu"="c:\program files (x86)\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
      "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1840720]
      "CamserviceHD"="c:\program files (x86)\Hercules\Dualpix HD\XtrCtrl.exe" [2009-10-19 2999080]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "LoadAppInit_DLLs"=0x0
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.com/
      uLocal Page = c:\windows\SysWOW64\blank.htm
      mLocal Page = c:\windows\SysWOW64\blank.htm
      uInternet Settings,ProxyOverride = *.local
      TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
      FF - ProfilePath - c:\users\frederic\AppData\Roaming\Mozilla\Firefox\Profiles\htzd60o6.default\
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
      .
      - - - - ORPHELINS SUPPRIMES - - - -
      .
      AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe
      AddRemove-{B60DCA15-56A3-4D2D-8747-22CF7D7B588B} - c:\program files (x86)\InstallShield Installation Information\{B60DCA15-56A3-4D2D-8747-22CF7D7B588B}\setup.exe
      .
      .
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
      @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
      @Denied: (A 2) (Everyone)
      @="Shockwave Flash Object"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
      @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
      "ThreadingModel"="Apartment"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
      @="0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
      @="ShockwaveFlash.ShockwaveFlash.10"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
      @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
      @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
      @="1.0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
      @="ShockwaveFlash.ShockwaveFlash"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
      @Denied: (A 2) (Everyone)
      @="Macromedia Flash Factory Object"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
      @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
      "ThreadingModel"="Apartment"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
      @="FlashFactory.FlashFactory.1"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
      @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
      @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
      @="1.0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
      @="FlashFactory.FlashFactory"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker3"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
      c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
      c:\program files (x86)\OpenOffice.org 3\program\soffice.exe
      c:\program files (x86)\OpenOffice.org 3\program\soffice.bin
      c:\program files (x86)\Canal+\CANAL+ CANALSAT A LA DEMANDE\CANAL+ CANALSAT A LA DEMANDE.EXE
      c:\program files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
      .
      **************************************************************************
      .
      Heure de fin: 2011-12-03 13:53:21 - La machine a redémarré
      ComboFix-quarantined-files.txt 2011-12-03 12:53
      .
      Avant-CF: 213 627 367 424 octets libres
      Après-CF: 213 428 817 920 octets libres
      .
      - - End Of File - - 0A24DFA1A625612963526BB6912689E3
      0
  12. g3n-h@ckm@n
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    ClearJavaCache::

    RegLock::
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
    1. Pitchoun
       
      Juste une question : faut-il que j'ouvre au préalable le fichier combofix.txt ? Car glisser une icône sur une autre, ça ne fonctionne pas !!
      0
    2. Pitchoun
       
      Je dois m'absenter cette après-midi, je reviens en fin de journée.
      Bonne après-midi et encore merci !
      0
  13. g3n-h@ckm@n
     
    precise ca ne fonctionne pas
    0
    1. Pitchoun
       
      lorsque j'essaie de mettre une icone sur l'autre, la première se met en dessous. Elles ne se mettent pas l'une sur l'autre, elles se déplacent pour se coller à côté
      0
  14. g3n-h@ckm@n
     
    hello

    c'est bien le cfscript.txt que tu deposes sur combofix ?
    0
    1. Pitchoun
       
      hello,

      oui j'ai essayé de déposer CFScript.txt sur combofix.txt.
      0
  15. g3n-h@ckm@n
     
    essaie en mettant combofix ailleurs que sur ton bureau
    0
  16. Pitchoun
     
    J'ai essayé en mettant combofix dans un dossier dans mes documents et c'est pareil, il ne se passe rien...
    0
  17. Pitchoun
     
    pas moyen de démarre en mode sans échec.

    Tout se passe bien jusqu'à ce que j'arrive sur la page où je dois entrer mon mot de passe et là l'ordi redémarre tout seul (si je mets mon mot de passe il me dit qu'il est faux et redémarre, et si je ne le tape pas tout de suite, il redémarre)
    0
  18. g3n-h@ckm@n
     
    telecharge ici : Load_KidoKiller

    Desactive tes protections

    lance-le , clique sur lancer le nettoyage

    l'outil va télécharger automatiquement la derniere version puis

    le scan se lancera ensuite

    à la fin Kido.txt se mettra sur ton bureau

    ▶ Copie le contenu dans ta réponse.
    0
  19. Pitchoun
     
    Nom de l'h"te: FREDERIC-PC
    Nom du systSme d'exploitation: Microsoft Windowsÿ7 dition Familiale Premium
    Version du systSme: 6.1.7600 N/A version 7600
    Fabricant du systSme d'exploitation: Microsoft Corporation
    Configuration du systSme d'exploitation: Station de travail autonome
    Type de version du systSme d'exploitation: Multiprocessor Free
    Propri'taire enregistr': frederic
    Organisation enregistr'e:
    Identificateur de produit: 00359-OEM-8992687-00010
    Date d'installation originale: 21/03/2010, 13:15:19
    Heure de d'marrage du systSme: 04/12/2011, 15:10:26
    Fabricant du systSme: HP-Pavilion
    ModSle du systSme: WC963AA-ABF p6355fr
    Type du systSme: x64-based PC
    Processeur(s): 1 processeur(s) install'(s).
    [01]ÿ: Intel64 Family 6 Model 37 Stepping 2 GenuineIntel ~2933 MHz
    Version du BIOS: American Megatrends Inc. 5.07, 21/12/2009
    R'pertoire Windows: C:\Windows
    R'pertoire systSme: C:\Windows\system32
    P'riph'rique d'amor#age: \Device\HarddiskVolume1
    Option r'gionale du systSme: fr;Fran#ais (France)
    ParamStres r'gionaux d'entr'e: fr;Fran#ais (France)
    Fuseau horaire: (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
    M'moire physique totale: 6ÿ071 Mo
    M'moire physique disponible: 4ÿ630 Mo
    M'moire virtuelleÿ: taille maximale: 12ÿ140 Mo
    M'moire virtuelleÿ: disponible: 10ÿ460 Mo
    M'moire virtuelleÿ: en cours d'utilisation: 1ÿ680 Mo
    Emplacements des fichiers d''change: C:\pagefile.sys
    Domaine: WORKGROUP
    Serveur d'ouverture de session: \\FREDERIC-PC
    Correctif(s): 134 Corrections install'es.
    [01]: KB971033
    [02]: KB2032276
    [03]: KB2079403
    [04]: KB2158563
    [05]: KB2160329
    [06]: KB2183461
    [07]: KB2207566
    [08]: KB2281679
    [09]: KB2286198
    [10]: KB2296011
    [11]: KB2296199
    [12]: KB2305420
    [13]: KB2345886
    [14]: KB2347290
    [15]: KB2360131
    [16]: KB2378111
    [17]: KB2385678
    [18]: KB2387149
    [19]: KB2393802
    [20]: KB2398632
    [21]: KB2416400
    [22]: KB2416471
    [23]: KB2419640
    [24]: KB2423089
    [25]: KB2425227
    [26]: KB2436673
    [27]: KB2442962
    [28]: KB2443685
    [29]: KB2446709
    [30]: KB2467659
    [31]: KB2475792
    [32]: KB2476490
    [33]: KB2478661
    [34]: KB2479628
    [35]: KB2479943
    [36]: KB2482017
    [37]: KB2483614
    [38]: KB2485376
    [39]: KB2491683
    [40]: KB2497640
    [41]: KB2503658
    [42]: KB2503665
    [43]: KB2506014
    [44]: KB2506212
    [45]: KB2506223
    [46]: KB2507618
    [47]: KB2507938
    [48]: KB2508272
    [49]: KB2508429
    [50]: KB2509553
    [51]: KB2510531
    [52]: KB2511455
    [53]: KB2518867
    [54]: KB2524375
    [55]: KB2525694
    [56]: KB2530548
    [57]: KB2532531
    [58]: KB2533552
    [59]: KB2534366
    [60]: KB2535512
    [61]: KB2536275
    [62]: KB2536276
    [63]: KB2539634
    [64]: KB2544521
    [65]: KB2544893
    [66]: KB2552343
    [67]: KB2555917
    [68]: KB2556532
    [69]: KB2559049
    [70]: KB2560656
    [71]: KB2562937
    [72]: KB2563894
    [73]: KB2564958
    [74]: KB2567053
    [75]: KB2567680
    [76]: KB2570791
    [77]: KB2570947
    [78]: KB2572076
    [79]: KB2579686
    [80]: KB2586448
    [81]: KB2588516
    [82]: KB2607712
    [83]: KB2616676
    [84]: KB2617657
    [85]: KB2620704
    [86]: KB2641690
    [87]: KB958488
    [88]: KB971468
    [89]: KB972270
    [90]: KB973525
    [91]: KB974332
    [92]: KB974431
    [93]: KB974455
    [94]: KB974571
    [95]: KB975364
    [96]: KB975467
    [97]: KB975560
    [98]: KB975741
    [99]: KB976002
    [100]: KB976662
    [101]: KB976749
    [102]: KB976902
    [103]: KB977074
    [104]: KB978207
    [105]: KB978251
    [106]: KB978262
    [107]: KB978542
    [108]: KB978601
    [109]: KB978886
    [110]: KB979306
    [111]: KB979309
    [112]: KB979482
    [113]: KB979559
    [114]: KB979683
    [115]: KB979687
    [116]: KB979688
    [117]: KB979900
    [118]: KB979916
    [119]: KB980182
    [120]: KB980195
    [121]: KB980218
    [122]: KB980232
    [123]: KB980408
    [124]: KB980436
    [125]: KB981332
    [126]: KB981793
    [127]: KB981852
    [128]: KB981957
    [129]: KB982132
    [130]: KB982214
    [131]: KB982381
    [132]: KB982665
    [133]: KB982799
    [134]: KB983590
    Carte(s) r'seau: 1 carte(s) r'seau install'e(s).
    [01]: Realtek PCIe GBE Family Controller
    Nom de la connexionÿ: Connexion au r'seau local
    tatÿ: Support d'connect'
    scanning jobs ...

    scanning processes ...

    scanning threads ...

    scanning modules in svchost.exe...
    scanning modules in services.exe...
    scanning modules in explorer.exe...

    restoring show hidden and system files

    restoring SafeBoot registry node

    scanning C:\Windows\system32 ...
    scanning C:\Program Files (x86)\Internet Explorer\ ...
    scanning C:\Program Files (x86)\Movie Maker\ ...
    scanning C:\Program Files (x86)\Windows Media Player\ ...
    scanning C:\Program Files (x86)\Windows NT\ ...
    scanning C:\Users\frederic\AppData\Roaming ...
    scanning C:\Users\frederic\AppData\Local\Temp\ ...
    scanning C:\ ...
    scanning D:\ ...
    scanning F:\ ...
    scanning G:\ ...
    scanning H:\ ...
    scanning I:\ ...
    scanning J:\ ...
    scanning K:\ ...

    completed
    Infected jobs: 0
    Infected files: 0
    Infected threads: 0
    Splices functions: 0
    Cured files: 0
    Fixed registry keys: 0
    0
  20. g3n-h@ckm@n
     
    le mode sans echec est operationnel pourtant
    0
  • 1
  • 2
  • 3
  • 4